Μια νέα ευπάθεια των Windows 7 και 8.1 αποκαλύφθηκε από την Google, αφήνοντας τα λειτουργικά συστήματα της Microsoft εκτεθειμένα μέχρι τον επόμενο μήνα, που η εταιρεία σχεδιάζει να κυκλοφορήσει ένα patch.
Η Google ξεκίνησε από τον Ιούλιο του 2014 το Project Zero group που κυνηγάει zero-day σε διάφορες πλατφόρμες. Από τότε μέχρι σήμερα έχουν εκθέσει αρκετές ευπάθειες των Windows. Με το πλαίσιο της πολιτικής δημοσιοποίησης των 90 ημερών που έχει η ομάδα του Project Zero, η Microsoft έχει μείνει ακάλυπτη τουλάχιστον δύο φορές μέχρι σήμερα.
Βασικά, η Google δίνει στις εταιρείες τρεις μήνες για να επιλύσουν τα ζητήματα ασφαλείας που έχουν ανακαλύψει πριν τα δημοσιοποιήσουν. Μέχρι σήμερα, οι κυνηγοί σφαλμάτων ασφαλείας της Google έχουν αποκαλυφθεί πολλαπλές αδυναμίες ασφαλείας στα Windows.
Το ελάττωμα που αποκαλύφθηκε σήμερα επηρεάζει τη λειτουργία των Windows που ονομάζεται “CryptProtectMemory” και επιτρέπει στις εφαρμογές για να κρυπτογραφήσουν τη μνήμη για τις διαδικασίες που τρέχουν, κατά τη διάρκεια μιας σύνδεσης.
Κατά τη σύνδεση, το κλειδί κρυπτογράφησης που εκδίδεται με βάση το αναγνωριστικό του session και μπορεί να χρησιμοποιηθεί για την ανταλλαγή δεδομένων μεταξύ των διεργασιών, επιτρέποντας την εξαγωγή του αναγνωριστικού περιόδου σύνδεσης (session) από τη συμβολική πλαστοπροσωπία, αναφέρει ο James Forshaw στη δημοσίευση που αποκαλύπτει την ευπάθεια.
“Το θέμα είναι ότι η εφαρμογή CNG.sys δεν ελέγχει το επίπεδο πλαστοπροσωπίας του token κατά τη λήψη ενός αναγνωριστικού της περιόδου σύνδεσης (χρησιμοποιώντας το SeQueryAuthenticationIdToken). Έτσι ένας απλός χρήστης μπορεί να μιμηθεί το επίπεδο αναγνώρισης και να αποκρυπτογραφήσει ή να κρυπτογραφήσει τα δεδομένα για την εν λόγω περίοδο λειτουργίας σύνδεσης” αναφέρει ο ερευνητής.
Ο Forshaw κυκλοφόρησε επίσης μια απόδειξη της ευπάθειας (PoC) η οποία αποδεικνύει ότι η αποκάλυψη των πληροφοριών είναι δυνατή μέσω της αξιοποίησης του ελαττώματος.
Το πρόβλημα είχε αναφερθεί στη Microsoft στις 17 Οκτωβρίου του 2014. Η εταιρεία, στη συνέχεια επιβεβαίωσε την ευπάθεια στις 29 Οκτωβρίου, όταν οι προγραμματιστές της κατάφεραν να την αναπαραγάγουν.
Είναι σημαντικό να σημειώσουμε ότι η ευπάθεια είχε καθορισμένη ημερομηνία γνωστοποίησης για τις 15 Ιανουαρίου.
Ωστόσο, η εταιρεία ανακοίνωσε στη Google ότι δεν θα είναι σε θέση να παραδώσει ένα patch μέσα στον Ιανουάριο, επειδή προέκυψε πρόβλημα συμβατότητας. Έτσι η ενημέρωση που διορθώνει το κενό ασφαλείας θα κυκλοφορήσει τον επόμενο μήνα.